Ενιαία σύνδεση πλατφόρμας για macOS
Επισκόπηση
Με την Ενιαία σύνδεση πλατφόρμας, εσείς —ή ένας δημιουργός διαχείρισης ταυτοτήτων— μπορείτε να δημιουργήσετε επεκτάσεις Ενιαίας σύνδεσης που επιτρέπουν στους χρήστες να πραγματοποιούν έλεγχο ταυτότητας με τον λογαριασμό του παρόχου ταυτότητας (IdP) του οργανισμού σας σε Mac κατά τη διάρκεια του Βοηθού διαμόρφωσης. Η Ενιαία σύνδεση πλατφόρμας μπορεί να συνδυαστεί με άλλες επεκτάσεις Ενιαίας σύνδεσης με τις ακόλουθες παραμέτρους:
Η διαχείριση ενός συγκεκριμένου τομέα γίνεται αποκλειστικά από μία μόνο επέκταση Ενιαίας σύνδεσης.
Το στοιχείο
syncLocalPasswordπρέπει να οριστεί σεfalseστη διαμόρφωση Ενιαίας σύνδεσης Kerberos.
Δυνατότητες
Η Ενιαία σύνδεση πλατφόρμας υποστηρίζει τις ακόλουθες δυνατότητες:
Ενεργοποιήστε και επιβάλετε την Ενιαία σύνδεση πλατφόρμας κατά την Αυτοματοποιημένη εγγραφή συσκευής για έλεγχο ταυτότητας της εγγραφής, συνδεθείτε με έναν Διαχειριζόμενο λογαριασμό Apple και δημιουργήστε έναν τοπικό χρήστη.
Παροχή εμπειρίας Ενιαίας σύνδεσης για εγγενείς και διαδικτυακές εφαρμογές.
Προβολή κατάστασης Ενιαίας σύνδεσης πλατφόρμας και λεπτομερειών εγγραφής στις Ρυθμίσεις συστήματος.
Συγχρονίστε τα συνθηματικά τοπικών λογαριασμών χρηστών με τον πάροχο ταυτότητας, και καθορίστε πολιτικές εισόδου.
Καθορίστε ομαδικά δικαιώματα λογαριασμών παρόχου ταυτότητας και επιτρέψτε στους χρήστες να χρησιμοποιούν δικτυακούς μόνο λογαριασμούς παρόχου ταυτότητας σε προτροπές εξουσιοδότησης.
Δημιουργία τοπικών λογαριασμών χρηστών κατ’ απαίτηση κατά την είσοδο με διαπιστευτήρια από λογαριασμό παρόχου ταυτότητας.
Υποστήριξη επισκεπτών χρηστών που πραγματοποιούν προσωρινή είσοδο με τα διαπιστευτήρια παρόχου ταυτότητας σε κοινόχρηστους υπολογιστές Mac.
Σημείωση: Οι περισσότερες δυνατότητες απαιτούν υποστήριξη από την επέκταση Ενιαίας σύνδεσης πλατφόρμας. Για να μάθετε περισσότερα σχετικά με την υλοποίηση της Ενιαίας σύνδεσης πλατφόρμας στον οργανισμό σας, συμβουλευτείτε την τεκμηρίωση του παρόχου ταυτότητας.
Απαιτήσεις
Mac με Apple Silicon ή Mac με επεξεργαστή Intel και Touch ID
Μια υπηρεσία διαχείρισης συσκευών που υποστηρίζει τη ρύθμιση παραμέτρων της Επεκτάσιμης Ενιαίας σύνδεσης, το οποίο περιλαμβάνει υποστήριξη για την Ενιαία σύνδεση πλατφόρμας
Μια εφαρμογή που περιέχει επέκταση Ενιαίας σύνδεσης πλατφόρμας που είναι συμβατή με τον πάροχο ταυτότητας
macOS 13 ή μεταγενέστερη έκδοση
Οι ακόλουθες δυνατότητες έχουν επιπλέον απαιτήσεις έκδοσης:
Δυνατότητα | Ελάχιστη υποστηριζόμενη έκδοση λειτουργικού συστήματος | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Λειτουργία επισκέπτη με έλεγχο ταυτότητας | macOS 26 | ||||||||||
Αγγίξτε για είσοδο | macOS 26 | ||||||||||
Ενιαία σύνδεση πλατφόρμας κατά την αυτοματοποιημένη εγγραφή συσκευής | macOS 26 | ||||||||||
Πρόθεμα UPN ως όνομα τοπικού λογαριασμού | macOS 15.4 | ||||||||||
Βεβαίωση για αναγνωριστικά συσκευών | macOS 15.4 | ||||||||||
Πολιτικές εισόδου | macOS 15 | ||||||||||
Δημιουργία λογαριασμού κατ’ απαίτηση | macOS 14 | ||||||||||
Διαχείριση ομάδων και εξουσιοδότηση δικτύου | macOS 14 | ||||||||||
Ενιαία σύνδεση πλατφόρμας στις Ρυθμίσεις συστήματος | macOS 14 | ||||||||||
Διαμόρφωση της Ενιαίας σύνδεσης πλατφόρμας
Για να χρησιμοποιήσετε την Ενιαία σύνδεση πλατφόρμας, το Mac και κάθε χρήστης πρέπει να εγγραφούν στον πάροχο ταυτότητας. Ανάλογα με την υποστήριξη του παρόχου ταυτότητας και την εφαρμοζόμενη ρύθμιση παραμέτρων, το Mac μπορεί να εκτελέσει σιωπηλά την εγγραφή συσκευής στο παρασκήνιο χρησιμοποιώντας τα εξής:
Ένα διακριτικό εγγραφής του παρόχου ταυτότητας που δόθηκε στη διαμόρφωση επεκτάσιμης Ενιαίας σύνδεσης
Μια βεβαίωση που παρέχει ισχυρή διασφάλιση ότι το Mac είναι γνήσια συσκευή Apple και μπορεί προαιρετικά να περιλαμβάνει αναγνωριστικά συσκευής (UDID και σειριακός αριθμός).
Για διατήρηση αξιόπιστης σύνδεσης με τον πάροχο ταυτότητας ανεξάρτητα από τον χρήστη, η Ενιαία σύνδεση πλατφόρμας υποστηρίζει τα κοινόχρηστα κλειδιά συσκευής. Χρησιμοποιήστε κοινόχρηστα κλειδιά συσκευής όποτε είναι δυνατό – απαιτούνται για την Αυτοματοποιημένη εγγραφή συσκευής, τη δημιουργία λογαριασμών κατ’ απαίτηση, την εξουσιοδότηση δικτύου και τη Λειτουργία επισκέπτη με έλεγχο ταυτότητας
Μετά την επιτυχή εγγραφή συσκευής, ο χρήστης εγγράφεται επίσης, εκτός αν ο λογαριασμός χρήστη χρησιμοποιεί τη Λειτουργία επισκέπτη με έλεγχο ταυτότητας. Αν ο πάροχος ταυτότητας το απαιτεί, μπορεί να ζητηθεί από τον χρήστη να επιβεβαιώσει την εγγραφή του. Για τοπικούς λογαριασμούς κατ’ απαίτηση, η Ενιαία σύνδεση πλατφόρμας εγγράφει τον χρήστη αυτόματα στο παρασκήνιο.
Σημείωση: Αν εγγράψετε ένα Mac από την υπηρεσία διαχείρισης συσκευών, καταργείται επίσης η εγγραφή του από τον πάροχο ταυτότητας.
Μέθοδοι ελέγχου ταυτότητας
Η Ενιαία σύνδεση πλατφόρμας υποστηρίζει διαφορετικές μεθόδους ελέγχου ταυτότητας μέσω παρόχου ταυτότητας. Η υποστήριξη για κάθε δυνατότητα εξαρτάται από τον πάροχο ταυτότητας και την επέκταση Ενιαίας σύνδεσης πλατφόρμας.
Συνθηματικό: Με αυτήν τη μέθοδο, ένας χρήστης πραγματοποιεί έλεγχο ταυτότητας με ένα τοπικό συνθηματικό ή συνθηματικό IdP. Υποστηρίζει επίσης το WS-Trust, που επιτρέπει στον χρήστη να κάνει έλεγχο ταυτότητας ακόμη κι όταν ο πάροχος ταυτότητας που διαχειρίζεται τον λογαριασμό του είναι ομόσπονδος.
Κλειδί με υποστήριξη Secure Enclave: Με αυτήν τη μέθοδο, ένας χρήστης που συνδέεται στο Mac του μπορεί να χρησιμοποιήσει ένα κλειδί που υποστηρίζεται από το Secure Enclave για έλεγχο ταυτότητας με τον πάροχο ταυτότητας (IdP) χωρίς συνθηματικό. Ο πάροχος ταυτότητας διαμορφώνει το κλειδί με υποστήριξη Secure Enclave κατά τη διαδικασία εγγραφής του χρήστη.
Έξυπνη κάρτα: Με αυτήν τη μέθοδο, ένας χρήστης πραγματοποιεί έλεγχο ταυτότητας μέσω παρόχου ταυτότητας χρησιμοποιώντας μια έξυπνη κάρτα. Για να χρησιμοποιήσετε αυτήν τη μέθοδο, πρέπει να κάνετε τα εξής:
Εγγράψτε την έξυπνη κάρτα στον πάροχο ταυτότητας.
Διαμορφώστε την αντιστοίχιση χαρακτηριστικών έξυπνης κάρτας στο Mac.
Για λεπτομέρειες και ένα παράδειγμα ρύθμισης παραμέτρων της αντιστοίχισης χαρακτηριστικών, δείτε τη σελίδα man για το έργο «Smart Card Services».
Κλειδί πρόσβασης: Με αυτήν τη μέθοδο, οι χρήστες χρησιμοποιούν ένα πάσο που είναι αποθηκευμένο στο Πορτοφόλι Apple για έλεγχο ταυτότητας μέσω παρόχου ταυτότητας. Όπως μια έξυπνη κάρτα, το κλειδί πρόσβασης πρέπει να εγγραφεί στον πάροχο ταυτότητας.
Ορισμένες λειτουργίες, όπως η δημιουργία λογαριασμών κατ’ απαίτηση, απαιτούν μια συγκεκριμένη μέθοδο ελέγχου ταυτότητας.
Δυνατότητα | Συνθηματικό | Κλειδί με υποστήριξη Secure Enclave | Έξυπνη κάρτα | Κλειδί πρόσβασης | |||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Διαχείριση ομάδων |  | | | | |||||||
Αυτοματοποιημένη εγγραφή συσκευής | | | |  | |||||||
Λειτουργία επισκέπτη με έλεγχο ταυτότητας | | | | | |||||||
Δημιουργία λογαριασμού κατ’ απαίτηση | | | | | |||||||
Συγχρονισμός συνθηματικών | | | | | |||||||
Σημείωση: Η επέκταση Ενιαίας σύνδεσης πρέπει να υποστηρίζει τη ζητούμενη μέθοδο για την ολοκλήρωση της εγγραφής. Μπορείτε επίσης να αλλάξετε μεθόδους, για παράδειγμα, μπορεί να γίνει εναλλαγή ενός λογαριασμού που δημιουργήθηκε με όνομα χρήστη και συνθηματικό σε κλειδί με υποστήριξη Secure Enclave ή έξυπνη κάρτα μετά την επιτυχή είσοδο.
Ενιαία σύνδεση πλατφόρμας με αυτοματοποιημένη εγγραφή συσκευών
Οι οργανισμοί μπορούν να ενεργοποιήσουν και να επιβάλουν την Ενιαία σύνδεση πλατφόρμας κατά τη διάρκεια του Βοηθού διαμόρφωσης με την Αυτοματοποιημένη εγγραφή συσκευής. Αυτή η επιλογή λειτουργεί καλύτερα για συσκευές ενός χρήστη. Το macOS δημιουργεί αυτόματα έναν τοπικό λογαριασμό για τον χρήστη που πραγματοποιεί έλεγχο ταυτότητας για την εγγραφή, παρέχοντάς του άμεση πρόσβαση Ενιαίας σύνδεσης σε υποστηριζόμενες εγγενείς και διαδικτυακές εφαρμογές.
Εάν έχει διαμορφωθεί, το macOS κάνει λήψη και εγκατάσταση της επέκτασης και της ρύθμισης παραμέτρων της Ενιαίας σύνδεσης πλατφόρμας. Αυτό μπορεί να συμβεί πριν από την εκτέλεση της πραγματικής εγγραφής με την υπηρεσία διαχείρισης συσκευών, το οποίο επιτρέπει τον έλεγχο ταυτότητας της εγγραφής με Ενιαία σύνδεση, ή μετά την εγγραφή όταν το Mac διατηρείται σε κατάσταση αναμονής διαμόρφωσης. Κατά τη διάρκεια αυτής της ροής, το Mac εκτελεί εγγραφή συσκευής είτε σιωπηλά είτε προτρέποντας τον χρήστη και ζητάει από τον χρήστη να κάνει έλεγχο ταυτότητας μέσω του παρόχου ταυτότητάς του για εγγραφή χρήστη. Οι χρήστες δεν μπορούν να προχωρήσουν χωρίς επιτυχή εγγραφή στην Ενιαία σύνδεση πλατφόρμας.
Μετά από επιτυχή έλεγχο ταυτότητας, το macOS δημιουργεί έναν τοπικό λογαριασμό και το συνθηματικό είτε συγχρονίζεται με τον πάροχο ταυτότητας είτε ο χρήστης ορίζει ένα τοπικό συνθηματικό (όταν η Ενιαία σύνδεση πλατφόρμας χρησιμοποιεί ένα κλειδί που υποστηρίζεται από το Secure Enclave). Αν χρειαστεί, μπορείτε να επιβάλετε απαιτήσεις πολυπλοκότητας συνθηματικού για το τοπικό συνθηματικό χρησιμοποιώντας τη ρύθμιση παραμέτρων «Κωδικός».
Αν έχει διαμορφωθεί, το macOS μπορεί να συγχρονίσει την εικόνα προφίλ εισόδου του τοπικού λογαριασμού από τον πάροχο ταυτότητας.
Μπορείτε να χρησιμοποιήσετε την Ενιαία σύνδεση πλατφόρμας κατά την Αυτοματοποιημένη εγγραφή συσκευής με υποχρεωτική ενημέρωση λογισμικού. Σε αυτήν την περίπτωση, η υπηρεσία διαχείρισης συσκευών πρέπει να επιβάλει πρώτα την ενημέρωση.
Αν ο λογαριασμός χρήστη που δημιουργεί το macOS είναι ο μόνος στο Mac, γίνεται λογαριασμός διαχειριστή. Αν η υπηρεσία διαχείρισης συσκευών δημιούργησε έναν λογαριασμό διαχειριστή χρησιμοποιώντας την εντολή ρύθμισης παραμέτρων λογαριασμού, μπορείτε να αντιστοιχίσετε διαφορετικά προνόμια στον λογαριασμό χρήστη χρησιμοποιώντας τη διαχείριση ομάδων Ενιαίας σύνδεσης πλατφόρμας.
Ενιαία σύνδεση
Καθώς η Ενιαία σύνδεση πλατφόρμας αποτελεί μέρος της Επεκτάσιμης ενιαίας σύνδεσης, οι χρήστες πραγματοποιούν είσοδο μία φορά και χρησιμοποιούν αυτό το διακριτικό ελέγχου ταυτότητας για πρόσβαση σε υποστηριζόμενες εγγενείς και διαδικτυακές εφαρμογές.
Αν τα διακριτικά δεν υπάρχουν, έχουν λήξει ή είναι παλαιότερα των τεσσάρων ωρών, η Ενιαία σύνδεση πλατφόρμας προσπαθεί να τα ανανεώσει ή να ανακτήσει νέα από τον πάροχο ταυτότητας. Μπορείτε επίσης να διαμορφώσετε το χρονικό διάστημα (κατ' ελάχιστο μία ώρα, σε δευτερόλεπτα) πριν η Ενιαία σύνδεση πλατφόρμας απαιτήσει πλήρη είσοδο αντί για ανανέωση διακριτικού. Η προεπιλογή είναι 18 ώρες.
Ενιαία σύνδεση πλατφόρμας στις Ρυθμίσεις συστήματος
Μετά την εγγραφή με την Ενιαία σύνδεση πλατφόρμας, οι χρήστες μπορούν να ελέγξουν την κατάσταση εγγραφής τους στις «Ρυθμίσεις συστήματος» > «Χρήστες και ομάδες» > [όνομα χρήστη]. Από εκεί, μπορούν να επισκευάσουν την εγγραφή ή να ανανεώσουν το διακριτικό ελέγχου ταυτότητάς τους.
Η κατάσταση εγγραφής της συσκευής είναι ορατή στους «Χρήστες και ομάδες» > «Διακομιστής λογαριασμού δικτύου» και παρέχει επίσης μια επιλογή για εκτέλεση επισκευής.
Συγχρονισμός συνθηματικών και πολιτικές εισόδου
Αν χρησιμοποιείτε τη μέθοδο ελέγχου ταυτότητας με συνθηματικό, το συνθηματικό τοπικού χρήστη συγχρονίζεται αυτόματα με τον πάροχο ταυτοποίησης κάθε φορά που ένας χρήστης αλλάζει το συνθηματικό του, είτε τοπικά είτε εξ αποστάσεως. Αν χρειαστεί, το macOS θα ζητήσει από τον χρήστη να εισαγάγει το προηγούμενο συνθηματικό του.
Από προεπιλογή, απαιτείται το συνθηματικό του τοπικού λογαριασμού για ξεκλείδωμα του FileVault, της οθόνης κλειδώματος και του παραθύρου εισόδου. Αν το συνθηματικό που εισαγάγατε δεν ταιριάζει με το συνθηματικό του τοπικού λογαριασμού χρήστη, το macOS θα επιχειρήσει να επικοινωνήσει με τον πάροχο ταυτότητας για ζωντανό έλεγχο ταυτότητας. Αν το macOS δεν μπορεί να επικοινωνήσει με τον πάροχο ταυτότητας ή το συνθηματικό που εισαγάγατε δεν ταιριάζει με το συνθηματικό που έχει αποθηκεύσει ο πάροχος ταυτότητας, ο έλεγχος ταυτότητας θα αποτύχει.
Με τις πολιτικές εισόδου, μπορείτε να επιτρέψετε την άμεση χρήση του τρέχοντος συνθηματικού από τον πάροχο ταυτότητας σε αυτές τις τρεις περιπτώσεις. Μπορείτε επίσης να ορίσετε τις ακόλουθες πολιτικές ξεχωριστά για το FileVault, την οθόνη κλειδώματος και το παράθυρο εισόδου:
Απόπειρα ελέγχου ταυτότητας.
Αν έχει διαμορφωθεί, πραγματοποιείται απόπειρα ζωντανού ελέγχου ταυτότητας μέσω παρόχου ταυτότητας.
Αν το Mac είναι συνδεδεμένο στο Διαδίκτυο, απαιτείται επιτυχής έλεγχος ταυτότητας μέσω παρόχου ταυτότητας για να συνεχιστεί η διαδικασία, ακόμη κι αν το Mac είναι εκτός σύνδεσης μετά την πρώτη απόπειρα.
Αν ο έλεγχος ταυτότητας είναι επιτυχής, η Ενιαία σύνδεση πλατφόρμας ενημερώνει τον τοπικό κωδικό.
Αν το Mac είναι εκτός σύνδεσης, ο χρήστης μπορεί να χρησιμοποιήσει το συνθηματικό του τοπικού λογαριασμού του.
Απαίτηση ελέγχου ταυτότητας.
Αν έχει διαμορφωθεί, απαιτείται ζωντανός έλεγχος ταυτότητας μέσω παρόχου ταυτότητας για μετάβαση στο επόμενο βήμα.
Αν το Mac είναι συνδεδεμένο στο Διαδίκτυο, απαιτείται επιτυχής έλεγχος ταυτότητας μέσω παρόχου ταυτότητας για να συνεχιστεί η διαδικασία, ανεξάρτητα από την περίοδο χάριτος εκτός σύνδεσης που έχει οριστεί.
Αν ο έλεγχος ταυτότητας είναι επιτυχής, η Ενιαία σύνδεση πλατφόρμας ενημερώνει τον τοπικό κωδικό.
Αν το Mac είναι εκτός σύνδεσης, οι χρήστες δεν θα μπορούν να πραγματοποιήσουν είσοδο. Σε αυτές τις περιπτώσεις, μπορείτε να ενεργοποιήσετε μια περίοδο χάριτος εκτός σύνδεσης και να την ορίσετε στον αριθμό ημερών μετά από προηγούμενη επιτυχημένη είσοδο, κατά τη διάρκεια της οποίας ο χρήστης μπορεί να συνεχίσει να χρησιμοποιεί το συνθηματικό του τοπικού λογαριασμού.
Μπορείτε να ορίσετε όταν ένας λογαριασμός πραγματοποιεί είσοδο στο Mac αν θα είναι υπό τη διαχείριση της Ενιαίας σύνδεσης πλατφόρμας ή αν εξακολουθούν να επιτρέπονται οι τοπικοί μόνο λογαριασμοί. Μπορείτε επίσης να ορίσετε μια περίοδο χάριτος (σε ημέρες) μετά την εφαρμογή της πολιτικής, πριν ξεκινήσει η επιβολή. Αυτό επιτρέπει την προσωρινή χρήση τοπικών λογαριασμών. Για παράδειγμα, μπορείτε να χρησιμοποιήσετε προσωρινά έναν λογαριασμό διαχειριστή που δημιουργήθηκε από την υπηρεσία διαχείρισης συσκευών για να εκτελέσετε ή να επιδιορθώσετε την εγγραφή συσκευής με Ενιαία σύνδεση πλατφόρμας.
Αντί για ζωντανό έλεγχο ταυτότητας, μπορείτε επίσης να επιτρέψετε στους χρήστες να χρησιμοποιούν το Touch ID ή το Apple Watch στην οθόνη κλειδώματος.
Αν είναι απαραίτητο, οι τοπικοί λογαριασμοί (όπως έχουν οριστεί από εσάς) μπορούν να εξαιρεθούν από τις πολιτικές εισόδου και να μην τους ζητηθεί να εγγραφούν στην Ενιαία σύνδεση πλατφόρμας.
Διαχείριση ομάδων και εξουσιοδότηση δικτύου
Η Ενιαία σύνδεση πλατφόρμας μπορεί να παρέχει λεπτομερή διαχείριση δικαιωμάτων εφαρμόζοντας τα ακόλουθα προνόμια σε έναν λογαριασμό κάθε φορά που ο χρήστης πραγματοποιεί έλεγχο ταυτότητας:
Τυπικό: Ο λογαριασμός έχει προνόμια τυπικού χρήστη.
Διαχειριστής: Προσθέτει τον λογαριασμό στην ομάδα τοπικών διαχειριστών.
Ομάδες: Καθορίστε δικαιώματα βάσει της βαθμίδας μέλους σε ομάδες, τα οποία ενημερώνονται κάθε φορά που ο χρήστης πραγματοποιεί έλεγχο ταυτότητας με τον πάροχο ταυτότητας.
Όταν χρησιμοποιείτε ομάδες, ένας λογαριασμός έχει τα δικαιώματα που αντιστοιχούν στη συμμετοχή στα εξής:
Ομάδες διαχειριστών: Αν ο λογαριασμός είναι μέρος μιας ομάδας που περιλαμβάνεται στη λίστα, έχει πρόσβαση τοπικού διαχειριστή.
Ομάδες εξουσιοδότησης: Αν ο λογαριασμός ανήκει σε ομάδα που έχει αντιστοιχιστεί σε ενσωματωμένο ή προσαρμοσμένο δικαίωμα εξουσιοδότησης, τότε ο λογαριασμός έχει προνόμια που σχετίζονται με τη συγκεκριμένη ομάδα. Για παράδειγμα, το macOS χρησιμοποιεί τα ακόλουθα δικαιώματα εξουσιοδότησης:
system.preferences.datetime: επιτρέπει στον λογαριασμό να τροποποιεί τις ρυθμίσεις ώρας.system.preferences.energysaver: επιτρέπει στον λογαριασμό να τροποποιεί τις ρυθμίσεις εξοικονόμησης ενέργειας.system.preferences.network: επιτρέπει στον λογαριασμό να τροποποιεί τις δικτυακές ρυθμίσεις.system.preferences.printing: επιτρέπει στον λογαριασμό να προσθέτει ή να αφαιρεί εκτυπωτές.
Πρόσθετες ομάδες: Ομάδες που ορίζονται από τον χρήστη για macOS ή συγκεκριμένες εφαρμογές, τις οποίες το macOS δημιουργεί αυτόματα μέσα στον τοπικό κατάλογο (αν δεν υπάρχουν ήδη). Για παράδειγμα, μπορείτε να χρησιμοποιήσετε μια επιπλέον ομάδα στη ρύθμιση παραμέτρων
sudoγια να ορίσετε την πρόσβασηsudo.
Εξουσιοδότηση δικτύου
Η Ενιαία σύνδεση πλατφόρμας επιτρέπει στους χρήστες χωρίς τοπικό λογαριασμό Mac να χρησιμοποιούν τα διαπιστευτήρια παρόχου ταυτότητας για εξουσιοδότηση. Αυτοί οι λογαριασμοί χρησιμοποιούν τις ίδιες ομάδες όπως η διαχείριση ομάδων. Για παράδειγμα, αν ο λογαριασμός είναι μέλος μιας ομάδας διαχειριστών, μπορεί να εκτελεί προτροπές εξουσιοδότησης διαχειριστή. Για να χρησιμοποιήσετε αυτήν τη λειτουργικότητα, ρυθμίστε τις παραμέτρους της Ενιαίας σύνδεσης πλατφόρμας με κοινόχρηστα κλειδιά συσκευής.
Δεν είναι δυνατή η εξουσιοδότηση δικτύου με προτροπές εξουσιοδότησης που απαιτούν ασφαλές διακριτικό, δικαιώματα ιδιοκτησίας, ή έλεγχο ταυτότητας από τον τρέχοντα συνδεδεμένο χρήστη.
Δημιουργία λογαριασμού κατ’ απαίτηση
Σε κοινόχρηστες αναπτύξεις, οι χρήστες μπορούν να πραγματοποιήσουν είσοδο με το όνομα χρήστη και το συνθηματικό του παρόχου ταυτότητας ή μια έξυπνη κάρτα για αυτόματη δημιουργία τοπικού λογαριασμού.
Μπορείτε να επιτύχετε μια πλήρως αυτοματοποιημένη διαδικασία παροχής χρησιμοποιώντας την Αυτόματη εγγραφή συσκευής με Αυτόματη συνέχιση. Πρέπει να δημιουργήσετε τον πρώτο τοπικό λογαριασμό διαχειριστή χρησιμοποιώντας μια υπηρεσία διαχείρισης συσκευών και να εκτελέσετε σιωπηλή εγγραφή Ενιαίας σύνδεσης πλατφόρμας.
Απαιτούνται τα ακόλουθα για χρήση της δημιουργίας λογαριασμού κατ’ απαίτηση:
Εγγράψτε το Mac σε μια υπηρεσία διαχείρισης συσκευών που υποστηρίζει διακριτικά bootstrap.
Προσθέστε τα εξής: μια ρύθμιση παραμέτρων επέκτασης Ενιαίας σύνδεσης με την Ενιαία σύνδεση πλατφόρμας, κοινόχρηστα κλειδιά συσκευής και την επιλογή δημιουργίας χρήστη κατά την είσοδο.
Ολοκληρώστε τον Βοηθό διαμόρφωσης και δημιουργήστε έναν τοπικό λογαριασμό διαχειριστή.
Το Mac βρίσκεται στην οθόνη παραθύρου εισόδου, το FileVault είναι ξεκλείδωτο και υπάρχει σύνδεση δικτύου.
Χρησιμοποιώντας μια προαιρετική ρύθμιση παραμέτρων, μπορείτε να ορίσετε ποιο χαρακτηριστικό του παρόχου ταυτότητας θα χρησιμοποιηθεί για το όνομα τοπικού λογαριασμού (σύντομο όνομα) και το πλήρες όνομα. Οι διαχειριστές μπορούν επίσης να ορίσουν το κλειδί για το όνομα λογαριασμού σε com.apple.PlatformSSO.AccountShortName για χρήση του προθέματος UPN.
Επιπλέον, μπορείτε να ορίσετε ποια προνόμια θα ισχύουν για νέους λογαριασμούς κατά την είσοδο. Διατίθενται οι ίδιες επιλογές για τη διαχείριση ομάδων:
Τυπικό: Ο λογαριασμός έχει προνόμια τυπικού χρήστη.
Διαχειριστής: Προσθέτει τον λογαριασμό στην ομάδα τοπικών διαχειριστών.
Ομάδες: Καθορίστε δικαιώματα βάσει της βαθμίδας μέλους σε ομάδες, τα οποία ενημερώνονται κάθε φορά που ο χρήστης πραγματοποιεί έλεγχο ταυτότητας με τον πάροχο ταυτότητας.
Λειτουργία επισκέπτη με έλεγχο ταυτότητας
Η Λειτουργία επισκέπτη με έλεγχο ταυτότητας παρέχει μια απρόσκοπτη εμπειρία εισόδου για κοινόχρηστες αναπτύξεις, όπως σε ιατρεία ή σχολεία, όπου οι χρήστες συνδέονται προσωρινά με τα διαπιστευτήρια παρόχου ταυτότητάς τους και δεν χρειάζονται μόνιμο τοπικό λογαριασμό. Ο χρήστης λαμβάνει προνόμια τυπικού χρήστη από προεπιλογή, αλλά μπορείτε να αλλάξετε αυτά τα προνόμια χρησιμοποιώντας τη διαχείριση ομάδων Ενιαίας σύνδεσης πλατφόρμας.
Οι απαιτήσεις είναι οι ίδιες με τη δημιουργία λογαριασμού κατ’ απαίτηση, αλλά αντί για επιλογή δημιουργίας χρήστη κατά την είσοδο, διαμορφώνετε τη Λειτουργία επισκέπτη με έλεγχο ταυτότητας.
Όταν ένας χρήστης πραγματοποιήσει έξοδο, το macOS διαγράφει όλα τα τοπικά δεδομένα για τον συγκεκριμένο λογαριασμό και το κοινόχρηστο Mac είναι έτοιμο για είσοδο του επόμενου χρήστη.
Αγγίξτε για είσοδο
Η δυνατότητα «Άγγιγμα για είσοδο» προσφέρει υποστήριξη ψηφιακών διαπιστευτηρίων του Πορτοφολιού Apple στο macOS. Οι οργανισμοί που χρησιμοποιούν ήδη ψηφιακά διακριτικά στο Πορτοφόλι Apple (επιτρέποντας στους χρήστες να ξεκλειδώνουν πόρτες με ένα iPhone ή Apple Watch) μπορούν πλέον να επεκτείνουν την ίδια εμπειρία στην είσοδο σε Mac.
Αυτή η μέθοδος ελέγχου ταυτότητας είναι ιδιαίτερα χρήσιμη για οργανισμούς όπου πολλαπλοί χρήστες μοιράζονται ένα Mac, όπως εκπαιδευτικά ιδρύματα, περιβάλλοντα λιανικής και εγκαταστάσεις υγειονομικής περίθαλψης.
Με τη δυνατότητα «Άγγιγμα για είσοδο», οι χρήστες μπορούν να κάνουν έλεγχο ταυτότητας σε Mac που έχει διαμορφωθεί για τη Λειτουργία επισκέπτη με έλεγχο ταυτότητας αγγίζοντας το iPhone ή το Apple Watch τους σε μια συνδεδεμένη συσκευή ανάγνωσης NFC. Αυτό ξεκινά μια ασφαλή διαδικασία Ενιαίας σύνδεσης που κάνει αυτόματα έλεγχο ταυτότητας στους χρήστες στις εφαρμογές και τους ιστοτόπους τους, επιτρέποντάς έτσι τη γρήγορη είσοδο και την έναρξη της εργασίας τους.
Τα διαπιστευτήρια χρήστη παρέχονται ως κλειδιά πρόσβασης σε ένα πάσο Πορτοφολιού Apple μέσω μιας εφαρμογής ή ενός προγράμματος περιήγησης σε iPhone. Αυτά τα κλειδιά πρόσβασης αποθηκεύονται στο Secure Enclave της συσκευής, καθιστώντας τα υποστηριζόμενα από το υλισμικό και κρυπτογραφημένα, και βοηθώντας στην προστασία από απόπειρες παραβίασης ή εξαγωγής. Η Λειτουργία εξπρές επιτρέπει τον άμεσο έλεγχο ταυτότητας χωρίς να απαιτείται από τους χρήστες να ενεργοποιήσουν ή να ξεκλειδώσουν τη συσκευή τους, όπως ακριβώς λειτουργούν οι κάρτες συγκοινωνίας στο Πορτοφόλι Apple.
Για να υλοποιηθεί η λειτουργικότητα «Άγγιγμα για είσοδο», το Mac πρέπει να είναι:
Διαμορφωμένο για τη Λειτουργία επισκέπτη με έλεγχο ταυτότητας
Εξοπλισμένο με υποστηριζόμενη εξωτερική συσκευή ανάγνωσης NFC
Η δημιουργία και η διαχείριση κλειδιών πρόσβασης απαιτεί συμμετοχή στο Πρόγραμμα πρόσβασης Apple Wallet. Για περισσότερες πληροφορίες σχετικά με τη δημιουργία κλειδιού πρόσβασης, δείτε την ενότητα Παροχή στον Οδηγό προγράμματος πρόσβασης στο Πορτοφόλι Apple.